「静的解析」関連の最新 ニュース・レビュー・解説 記事 まとめ

「メモリ安全でない既存のコードを全て書き直す必要はない」：
6年間でAndroidにおけるメモリ安全性の脆弱性を76％から24％まで低減　Googleが語る「Safe Coding」のアプローチと教訓とは
Googleは公式ブログで、2019年から2024年までの6年間で、Androidにおけるメモリ安全性の脆弱性を76％から24％まで低減できたと明らかにした。Googleはソフトウェア開発における「Safe Coding」のアプローチの重要性やメリットを解説している。（2024/10/17）

Cybersecurity Dive：
企業がOSSメンテナーに“ただ乗り”　この風潮はいつ是正されるのか？
オープンソースソフトウェアの開発者と企業をはじめとしたソフトウェアユーザーとの間には、依然として格差が存在している。ソフトウェアユーザーが高いセキュリティ基準を求める一方で必要な投資をしないため、この風潮は変わっていない。（2024/10/12）

組み込み開発ニュース：
ブラック・ダックが復活、シノプシスのSIGは独立企業として羽ばたく
シノプシスのソフトウェア・インテグリティ・グループ（SIG）は2024年10月1日、ブラック・ダック・ソフトウェア（Black Duck Software, Inc.）という社名で独立したことを発表した。日本法人の「ブラック・ダック・ソフトウェア合同会社」も発足している。（2024/10/2）

組み込み開発における生成AI活用【後編】
生成AIは「図面」が苦手？　三菱電機は“PoCの壁”をどう乗り越えたのか
生成AIを用いたソフトウェア開発の効率化を目指す三菱電機だが、PoC（概念実証）で生成AIの技術的な限界に直面したという。どのような方法で課題を克服したのか。プロジェクトの成果や展望を紹介する。（2024/10/1）

ソフトウェアテスト：
PR：動的テストツールの採用で組み込みソフトの処理性能計測工数を60％削減
ハートランド・データの動的テストツール「DT+」のユーザーズカンファレンスにアズビルの加地孝敏氏が登壇。ビルディングオートメーション事業で展開する制御機器の組み込みソフトウェア開発における処理性能計測や不具合解析の事例を紹介した。（2024/10/1）

ITmedia Security Week 2024 夏：
ググっても出てこない「サイバー攻撃者のAI活用」のリアル――AI時代の「アタックサーフェス」再定義
2024年8月30日、アイティメディアが主催するセミナー「ITmedia Security Week 2024 夏」における「アタックサーフェス管理」ゾーンで、多摩大学 ルール形成戦略研究所 客員教授 西尾素己氏が「攻撃者はAIを使ってここを狙う。今知るべき最新攻撃事情」と題して講演した。（2024/9/25）

特選プレミアムコンテンツガイド
「ChatGPT」「Gemini」の違いや活用方法は？　生成AIツール実践ガイド
「ChatGPT」と「Gemini」にはどのような違いがあるのか。生成AIの回答を改善するためのプロンプトの作り方とは。生成AI活用に当たっての基礎知識と、利用時のこつをまとめて紹介する。（2024/9/16）

通信大手BTのAIコーディング活用術【前編】
Amazon Q「自動コード生成」で開発者1200人が奮起　もう“手書き”に戻れない？
通信大手BTは、同社の開発者約1200人向けに「Amazon Q Developer」を導入した。導入の成果や、開発者の生産性を高める上で欠かせなかったことについて解説する。（2024/9/13）

セキュリティニュースアラート：
GitHubが新機能「Copilot Autofix」の提供を開始　ソースコードの脆弱性検出を高速化
GitHubは開発者がセキュリティリスクを迅速かつ効率的に修正できるよう支援する「Copilot Autofix」を公開した。このAI機能は脆弱性を検出し、自動で修正案を提案する。（2024/8/19）

ChatGPTはSASTツールになるのか【後編】
「ChatGPT」が「SAST」ツールの座を奪う？　実力と見えてきた課題
開発者の中で「『SAST』ツールの代替として『ChatGPT』が使えるのではないか」といった期待が高まっている。ChatGPTは脆弱性を正確に見つけ出し、SASTを超えることができるのか。（2024/8/16）

Cプログラムのメモリ安全性の脆弱性を解消する取り組み：
米国国防総省のDARPA、CからRustへのコード変換を自動化する「TRACTOR」プログラムを開始
DARPAは、C言語コードからRust言語のコードへの変換を自動化することを目指す「TRACTOR」プログラムを開始した。（2024/8/14）

ChatGPTはSASTツールになるのか【前編】
「ChatGPT」は“夢の静的解析ツール”になれるのか？　コード診断の新時代
コーディングの世界に生成AIの波が押し寄せている。「ChatGPT」が「SAST」に関する開発プロセスを変える可能性があるという。どの程度実用的なのか。サンプルコードを使いながらChatGPTの実力を探る。（2024/8/8）

モジュール式プラットフォーム：
チップレット設計期間をどう短縮するのか　米新興が提案
チップレットへの注目度が高まるにつれて、チップレット設計における課題も出てきた。米国のスタートアップBaya Systemsは、そうした課題に応えるソリューションを明らかにした。（2024/7/23）

生成AIで変わるコーディング【後編】
AIコーディング3大ツール「GitHub Copilot」「IntelliCode」「Amazon Q Developer」の違いは？
AI技術を使用したコーディングツールに、開発現場からの期待が集まっている。GitHub、Microsoft、AWSが提供する代表的なAIコーディングツールの機能を解説する。（2024/7/19）

生成AIで変わるコーディング【前編】
AIコーディングと「コード補完」「ローコード」「静的解析」の違いとは？
コーディング支援ツールはAI技術を活用することで、どのように進化してきたのか。「コード補完」「ローコード」「静的解析」などとの違いを踏まえて解説する。（2024/7/12）

IoTセキュリティ：
欧米との比較に見る、日本のソフトウェアサプライチェーンセキュリティの現在地
日本シノプシスは、調査レポート「ソフトウェア・サプライチェーン・セキュリティ・リスクの状況」を基に、日本企業のソフトウェアサプライチェーンセキュリティに対する取り組みや対応状況などについて説明した。（2024/7/4）

EDRとアンチマルウェアを比較【前編】
いまさら聞けない「EDR」と「アンチマルウェア」の違いとは？
企業のエンドポイントを保護する上で役立つのが、EDRとアンチマルウェアだ。両者にはどのような違いがあるのか。仕組みと役割の観点から両者の違いを解説する。（2024/5/27）

「＠IT 開発変革セミナー 2024 Winter」基調講演レポート：
DevOps視点で考える「ソフトウェア品質マネジメント」
「新しい開発手法やツールを導入したが、期待したほど効果が上がっていない。むしろ生産性が低下した気がする……」。そんな課題を抱える企業に不足している視点とは何か。第一線で活躍するアジャイルコーチがDevOpsの視点でソフトウェア品質について語った。（2024/5/17）

ESEC：
Qtが静的解析とアーキテクチャ解析をスイートで提供、ソフトウェアテストを強化
Qt Groupは、「第27回 組込み/エッジ コンピューティング展（ESEC）【春】」において、静的解析／アーキテクチャ検証ツール「Axivion Suite」を紹介した。（2024/5/1）

AI基礎解説：
セーフティクリティカルなAIシステム開発に求められる「V&Vプロセス」とは
世界各国でAI関連規制の整備が進む中で、AIシステムの開発に求められるのが「検証（Verification）」と「妥当性確認（Validation）」から成る「V&Vプロセス」である。特に、自動車や航空宇宙の分野を中心に高い安全性や高い信頼性が重視されるセーフティクリティカルなシステムにAIを導入する際に重要な役割を果たすとみられている。（2024/4/25）

Nuitkaを利用し高速化、難読化：
Wasmerが「py2wasm」を発表、PythonからWebAssemblyに変換　インタープリタより3倍高速実行可能に
WebAssembly（Wasm）ランタイムを開発するWasmerは、PythonプログラムをWebAssemblyに変換し、ベースラインインタープリタよりも3倍高速に実行できるようにする「py2wasm」を発表した。（2024/4/24）

セキュリティソリューション：
脆弱性管理ツールSnykのライセンス販売から導入、運用支援までをワンストップで提供
日立システムズエンジニアリングサービスはSnykとリセラー契約を締結し、Snykの脆弱性管理ツールの販売と導入・運用支援を国内で開始すると発表した。（2024/2/8）

ソースコードがなくても脆弱性を検出可能：
「バイナリコードの静的解析」によって検査効率を40％向上させる技術をNECが開発
NECはソフトウェアに潜む脆弱性を、実行ファイルのバイナリコードから検出する技術を開発した。外部から入力されたデータがソフトウェア内のどの処理で使われているかを追跡し、脆弱性や不正機能などを検出する。（2024/2/8）

Innovative Tech：
HTMLソースコードから個人情報が筒抜け？　Chromeなどのブラウザ拡張機能の多くで脆弱性　米研究者らが発見
米ウィスコンシン大学マディソン校に所属する研究者らは、HTMLソースコードからのパスワード、クレジットカード情報などのユーザーデータを抽出可能なブラウザ拡張機能について、多数の人気Webサイトが脆弱であることを明らかにした研究報告を発表した。（2023/11/16）

OSS活用の際に直面する“3つの課題”と自社システムの脆弱性にどう立ち向かうか：
PR：求められるSBOM対応、ソフトウェアのリスク管理は「待ったなし」、さあどうする？
各国政府や国際機関が、SBOMなどを通じたサイバーセキュリティやソフトウェアのサプライチェーンへの取り組みを急速に進めている。これは人ごとではない。各国政府や、業界団体は、制度化や国際標準化により企業への対応を強く求めている。今後、企業にはどういうアクションが求められるのだろうか。（2023/9/28）

組み込み開発ニュース：
C／C++言語の新たなコーディング規約に完全対応したテストツールを販売開始
テクマトリックスは、C言語／C++言語のコーディング標準に対応したテストツール「C++test 2022.2」の販売を開始した。（2023/3/24）

DXSummit14レポート：
ニチガスが模索する“Web3を見据えたビジネスモデル”　「レガシーシステムを捨てる勇気」が必要な理由
国内のエネルギー企業の中でDXにおいて一歩先んじているニチガス。人の手を排した自動検針やLPボンベの交換時期などを最適化する託送システム、基幹システムのフルクラウド化などを実現してきた同社が今模索する、Web3の世界における新しいビジネスモデルとは。（2023/3/22）

「C++」の後を継ぐ「Carbon」【後編】
プログラミング言語「Carbon」はC++の“あの問題”を解決するのか、しないのか
プログラミング言語「Carbon」を開発するGoogleは、Carbonを「『C++』の後継」だと捉えている。CarbonがC++に対して果たす役割について、有識者の寄稿を基に探る。（2023/1/26）

組み込み開発ニュース：
「Visual Studio Code」向け拡張機能の最新バージョンを提供
IARシステムズは、Microsoftのコードエディター「Visual Studio Code」を利用する開発者向けに、「IAR Build」「IAR C-SPY Debug Extensions」の最新版となるv1.20の提供を開始した。（2022/12/22）

「攻撃されてから対応したのでは遅い」：
無料で「開発におけるセキュリティの基本」を学べる18時間のオンライン講座、Linux Foundationが開講
The Linux Foundation Japanは、オンライン講座「セキュアソフトウェア開発」を開講した。オープンソースやその他のソフトウェアを安全に使用、開発する方法について無料で学習できる。（2022/12/6）

Adobe、Paypal、Lenovoなど：
130社調査で判明　ソフトウェア開発におけるセキュリティ強化、4つの見逃せないトレンドは
シノプシスは、セキュア開発成熟度モデルの調査レポート「BSIMM13（日本語版）」を公開した。ソフトウェアセキュリティの取り組みに関して、過去12カ月の間に4つのトレンドが見られることを明らかにした。（2022/11/9）

Linuxの商用利用に求められるセキュリティと信頼性に応える：
PR：利用シーンが広がる「Ubuntu」　安心して活用するためのポイントとは
「CentOS」からの移行先、企業の基幹システムやAI、機械学習ソフトウェアの稼働環境として注目される「Ubuntu」。企業が安心してUbuntuを活用するために、セキュリティや運用面においてどういった対応が可能なのだろうか。（2022/11/2）

組み込み開発ニュース：
アーキテクチャ分析ツールの最新日本語版を販売開始
テクマトリックスは、アーキテクチャ分析ツール「Lattix」の最新日本語版「Lattix 2022.1.1」の販売を開始した。ヒートマップ表示機能を追加した他、「Parasoft C++test」と連携している。（2022/8/12）

「Cloud Operator Days Tokyo 2022」セミナーレポート＃7：
「CI/CDビギナーのタケシくん」はどのように自動化を成功させたのか　フィックスポイントが解説
Cloud Operator Days Tokyo 2022のセッション「目指せ！安心・安定のサービスリリース 〜CI/CD で立ち向かうタケシくんの奮闘記〜」にてフィックスポイントの當麻遼平氏は、自動化の取り組み方について初心者目線で解説した。（2022/9/5）

Innovative Tech：
Webサイトからのマルウェア感染を防ぐセキュリティシステム、韓国チームが開発　ゼロデイ攻撃にも対応
韓国の極東大学校と南ソウル大学校の研究チームは、Webサイトを介して配布されるマルウェアを検知する新たなセキュリティシステムを開発した。（2022/7/22）

GitHub直伝、「DevSecOps」初めの一歩（後）：
セキュリティ事故を防ぎたいなら知っておくべき、「DevSecOps」における推奨事項
ソフトウェアの開発スピードを迅速化させられるかどうかが重要になる一方、セキュリティの取り組みも欠かせません。そこで注目されているのが「DevSecOps」です。DevSecOpsを組織で推進するためには何から取り組めばよいのか紹介します。（2022/7/19）

Snykの導入経緯や効果を語る：
「デベロッパーファースト」のコードセキュリティツールはどう使える？　ユーザーの感想は
「デベロッパーファーストのセキュリティツール」をうたうSnyk。実際にはどう使えるのか。グローバルなSaaSを開発しているユーザーが、導入の経緯や使い方、感想を語った。（2022/6/14）

IT運用担当者が着目すべき「トイル」というキーワード：
PR：IT運用管理をめぐる状況は激変、これをチャンスとするには
DXの波により、IT運用管理をめぐる状況は激変している。既存システムの運用はますます効率化が求められ、新たなシステムでは短いリリースサイクルに運用も追随していかなければならない。これらにどう対処するか。「アシスト運用フォーラム」では具体的な解決策が提示された。（2022/6/9）

既存の構造、方式からの完全脱却：
PR：仕様書約8000ページ、NTTドコモが巨大レガシーシステムをクラウドネイティブ化できた理由
NTTドコモは、1サービス当たりのソースコードが約50万ステップという巨大なレガシーシステムをマイクロサービスに分割し、コンテナ基盤で再構築した。どのようにモダナイゼーションを進めていったのか、同社の担当者が語った。（2022/5/31）

金融DX：
なぜスタートアップが一国の「デジタル通貨」を構築できたのか？　ソラミツ　宮沢氏に聞くBakong開発の経緯
中国の「デジタル人民元」をはじめ、中央銀行が発行するデジタル通貨に注目が集まっている。カンボジアはデジタル通貨「Bakong」（バコン）を2020年から正式運用しているが、実は技術を提供しているのは日本のスタートアップ企業であるソラミツだ。ソラミツはどんな経緯から参画することになったのか。開発ストーリーに迫る。（2022/5/13）

テストピラミッドとテストトロフィー：
統合テスト vs 単体テスト、なぜ統合テストの方が重要なのか――CoderPadが解説
CoderPadが公式ブログで、エンドツーエンドテスト、統合テスト、単体テスト、静的テストを比較し、統合テストの重要性を解説した。（2022/5/9）

一から分かる！　テスト自動化（2）：
テスト自動化で「失敗しない」ために、何がいる？　必要なツールと手順をおさらい
テスト自動化に取り組みたいけれどノウハウがない、過去に導入していたがうまくいかなくてやめた人に向けて、テスト自動化の「あるある」な失敗事例とともにどうすればうまく取り入れられるのかを解説する本連載。第2回は自動化ツールの種類やテスト自動化に必要な手順について。（2022/3/18）

組み込み開発環境：
PR：組み込みソフト開発にCI／CDやコンテナを活用、IaCで開発基盤を最適化
組み込み機器のIoT化やコロナ禍によるリモートワークへの対応などによって、組み込みソフトウェアの開発基盤の新たなトレンドへの移行が加速している。さまざまなコーディング規約への対応で高い評価を得てきた、テクマトリックスが販売するテストツール「C++test」は、最新バージョンの「2021.2」でこれらのトレンドに対応する新機能を搭載した。（2022/3/8）

組み込み開発ニュース：
CI／CDプラットフォームとの統合を強化したC／C++言語対応テストツールを発売
テクマトリックスは、C言語およびC++言語対応テストツール「C++test 2021.2」の販売を開始した。GitHub、GitLab、Azure DevOpsのツール上で、SARIFやSAST形式でレポートを生成する機能を追加している。（2022/3/7）

「Ruby biz Grand prix 2021」表彰式レポート：
PR：新たなビッグビジネスを予感させる9サービスを表彰
まつもとゆきひろ氏によって開発されたプログラミング言語「Ruby」を活用し、新たなビジネス価値を創造するサービスや商品を展開している企業を表彰するビジネスコンテスト「Ruby biz Grand prix 2021」の表彰式が、2021年12月15日に開催された。（2022/1/18）

テスト自動化をざっくり解説：
5分で分かるテスト自動化
現在のソフトウェア開発に欠かせない「テスト自動化」について、およそ5分でざっくり解説します。（2021/10/27）

「中身を把握できないままアプリ改修はできない」：
PR：富士ソフトが「システム引き継ぎ」と「PCI DSS準拠」を両立させた“秘策”とは
アプリケーション開発においてセキュアコーディングの重要性は高まっている。だが、「具体的に何をチェックしていけばいいのか」が定まらず、実践するとなると難しい。同様の悩みを抱えていた富士ソフトはどうやってこの課題を解決したのか。（2021/10/12）

仮想環境を使ったクラウド時代の組み込み開発のススメ（5）：
誰もが手軽にROSロボット／IoTシステムの開発に取り組める「RDBOX」とは
IoT／クラウドロボティクス時代のシステム開発を加速化する仮想環境の活用について解説する本連載。第5回は、“現実のインフラレイヤー”の構築と運用を含めて、自動化する「ツラさ」を乗り越えるための策として、筆者らが研究開発に取り組んでいるOSS「RDBOX」について紹介する。（2021/9/29）

はじめての単体テスト：
単体テストとは何か、なぜ必要なのか【前編】
本稿では、「単体テストとは何か？」「なぜ単体テストが必要なのか？」「どのようにすれば効率的に単体テストを行うことができるのか？」といった観点から、近年の組み込み業界の現状や単体テストについての基本的な知識を分かりやすく説明していきます。（2021/9/21）

アジャイル開発における品質管理（5）：
アジャイルで開発したシステムをいざテスト→全然使えない！　を防ぐ、テストの考え方総まとめ
少人数、短期間の開発を繰り返すアジャイル開発では、どのようにすれば品質を保つことができるのだろうか。本連載では、アジャイル開発における品質管理の手法を解説する。第5回は、システム全体の品質を担保しつつ、想定したリリース時期を守るためのポイントについて。（2021/9/16）